Le centre d’analyse de Microsoft sur les menaces numériques (DTAC) attribue la cyberattaque dont a été victime Charlie Hebdo le 4 janvier à “un acteur de l’Etat-nation iranien”, rapport le géant de la tech sur son site. Nommé “Neptunium” par Microsoft, cet acteur “a été identifié par le ministère américain de la Justice comme étant Emennet Pasargad”une entreprise iranienne de cybersécurité identifiée dans plusieurs opérations d’ingérence électorale aux États-Unis.
Dans son édition du 4 janvier, le journal satirique avait fait publier les résultats d’un grand concours de caricatures moquant ouvertment le Guide suprême iranien Khamenei et le régime des mollahs suite aux manifestations d’ampleur pour les droits des femmes en Iran. Le piratage est survenu presque huit ans après l’attentat terroriste islamiste contre le journal satirique, qui a décimé sa rédaction.
“Début janvier, un nouveau groupe en ligne se faisant appeler “Holy Souls”, que nous pouvons désormais identifier comme “Neptunium”, a affirmé avoir obtenu les informations personnelles de plus de 200 000 clients de Charlie Hebdo après avoir obtenu l’accès à une base de données”, décrit sur le site de l’entreprise Clint Watts, directeur général du Centre d’analyse des menaces numériques.
“Holy Souls” a notamment publié un échantillon de ces données, qui indique les noms, numéros de téléphone, adresses personnelles et e-mail d’abonnés du journal ou d’acheteurs sur la boutique en ligne. Le Monde avait pu vérifier auprès des victimes la véracité des informations en question. “Ces informations, recueillies par l’acteur iranien, pourraient exposer les abonnés du magazine à un ciblage en ligne ou physique par des organisations extrémistes”prévient Microsoft.
Le mode opératoire “typique des opérations parrainées par l’Etat iranien”
Sur des forums pour pirates, Holy Souls a proposé de vendre le cache de ces données pour 20 bitcoins – soit environ 340 000 dollars à l’époque, ou 313 000 euros. Les pirates avaient publié une partie de ces données sur YouTube et sur plusieurs forums de pirates, avant que plusieurs profils fictifs sur les réseaux sociaux soient séparés les images de la fuite et des messages tels que “Les esprits saints ont retiré le masque du visage de Charlie Hebdo”rapport Le Monde.
Pour Microsoft, le lien avec le concours de caricatures moquant Ali Khamenei est évident. “Nous pensons que cette attaque est une réponse du gouvernement iranien à un concours de caricatures organisé par Charlie Hebdo”, écrit Clint Watts. Le mode opératoire est dit “typique des opérations parrainées par l’Etat iranien”. Lors de la Coupe du monde de football 2022, le FBI avait attribué les mêmes méthodes à des pirates proches de l’Iran, à la rencontre d’un site sportif diffusé. Le think-tank américain Council for Foreign Relations note par ailleurs sur son site que l’entreprise iranienne suspectée, Emennet Pasargad, a déjà”attaqué des sites liés aux opérations de vote, des sites d’information, et propagé de la désinformation afin d’affaiblir la confiance dans le système électoral américain”.
L’objectif, selon le FBI, est de “saper la confiance du public dans la sécurité du réseau et des données de la victime, ainsi que d’embarrasser les entreprises victimes et les pays ciblés.” En avril 2022, le groupe lié à l’Iran Hackers of Savior avait ainsi prétendu infiltrer les principales bases de données isolées et publié le message : “Ne faites pas confiance à vos gouvernements.”
Sélectionné pour vous
